生体認証型の分散型IDプロジェクト、ヒューマニティプロトコル(Humanity Protocol)は13日、同プロジェクトのネイティブトークンHが6月8日に流出した事案について、セキュリティ企業Quantstampによる独立調査の結果を公表した。
調査報告書によると、攻撃者は韓国の仮想通貨取引所ビッサム(Bithumb)になりすましたフィッシングメールを同社役員に送付し、悪意あるファイルを開封させることで遠隔操作マルウェアを端末へ侵入させた。役員はBithumbと既にやり取りをしていたとしており、標的型の攻撃だったとみられる。
マルウェアはエンドポイントセキュリティを回避しつつ端末のリモートデスクトップを完全掌握し、ウォレットデータおよび秘密鍵を窃取した。攻撃者はその鍵を使い、イーサリアム上でHのコントラクトをアップグレードして約1億4118万Hを引き出すとともに、BNBスマートチェーン(BSC)ではProxyAdminコントラクトの管理権限を奪取してHを追加発行した。
窃取・発行したトークンはその後、分散型取引所のUniswapおよびPancakeSwapを通じて約8時間にわたって売却され、被害総額は約3600万ドル(約57億円)超に上ると同社は9日に明らかにしていた。Hの価格は発生直後に80%超下落した。
Quantstampは、Hancom社の電子証明書で署名された第一段階ローダー、Stas’mのRDPラッパー、Microsoft DefenderのNetwork Inspection Serviceに偽装されたバイナリ、隠し設定のゲストユーザープロファイルといった複数の技術的特徴が、北朝鮮系ハッカー集団の侵入パターンと一致すると指摘している。
同報告書は関与を断定するものではなく、使用されたツールと手口が北朝鮮系の侵入に特徴的なパターンと合致するとの表現にとどめている。
ヒューマニティプロトコルによると、イーサリアム上のHトークンコントラクトは攻撃者が制御しない別のマルチシグによって凍結済みとなっており、メインネットのブリッジも影響を受けていないとしている。
一方、BSCのデプロイメントについては依然として攻撃者が管理権限を持ち、追加発行が可能な状態が続いているとして、取引所と協議しながら対応策を検討中だと説明した。
同社はコミュニティ向けの復旧計画を近日中に公表するとしており、公式チャンネル以外の模倣アカウントや「クレーム」リンクへの注意を呼びかけている。
